情報セキュリティ対策レベルの決め方：情報セキュリティガバナンスを確立せよ（3）（2/2 ページ）

[大木栄二郎，工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問]

委託元・委託先とのセキュリティレベルの統一

　企業活動の迅速かつ円滑な展開には、協力関係にある企業間での情報共有が不可欠である。競争の激しい事業環境において、競争力を強化していくには、事業のバリューチェーンを構成する委託元や委託先と重要な情報をタイムリーに共有して効率を高めることが必須となる。そのためには、バリューチェーンを構成する各社と共有する情報について、どの企業においても一定レベル以上のセキュリティの確保がなされるとの前提がなければならない。この要求レベルの設定は、主として委託元から委託先に要請されることになる。

図1　バリューチェーンと情報セキュリティガバナンス

　従って、各社は、自社のリスク分析結果に応じて許容リスクレベルを定めるとともに、その結果が、バリューチェーンを構成する他社から要請されるレベルを満たすものであるかを検証することが必要であり、さらに、他社に対して自社の許容リスクレベルを満たすことを要求しなければならないことになる。

　これらの確認を行うことは、各社のリスク分析手法が共通でなければうまく機能しない。しかし、リスク分析手法がそこまで成熟していない現状では、それに変わる代替手段として、「脆弱性のレベルを合わせることで、リスクレベルが同一レベル以上にあることが推定される」という手法を用いることができる。つまり、バリューチェーンで要求されるセキュリティ対策の種類やその実施の確認条件を具体的に取り決め、各社にその実現を要求することで、バリューチェーン全体で、リスクを一定レベル以下に下げることを可能とするのである。

　ポイントは、リスク低減に必要な要求事項を具体的な管理手続きに記述して各社に要求する点にある。従って、要求される側としては、自社のリスク分析結果から求められる管理策に、バリューチェーンから求められる管理策を加えて実装していくことになる。

　事業分野ごとにバリューチェーンを構成する企業群が異なる場合は、バリューチェーンごとにリスク評価を繰り返すことになる。全社統一の基準と、事業ごとに要求される基準とを統合して、全社で1本の基準とするか、全社共通と事業別の2本立ての基準で行くかの選択を迫られることになるが、これは要求される内容や事業の性格などの実情に合わせて判断しなければならない。

他社のセキュリティレベルとの相対比較による確認

　さて、このようにして主体的に定めたリスクレベルが、世の中のレベルと比較してどのような位置にあるのかは、大変気になるところである。

　リスク分析評価手法が異なれば、その結果定める対策の要求レベルも大きく異なることになりかねない。自社だけの独りよがりな設定に陥っていないのか、リスクにおびえて自社のみが過重な対策に追い込まれていないのか、経営者にとって意思決定が適切であるのか、を他社と比較してその確認することは、きわめて重要な意味を持つ。

　この要求に直接応えることはきわめて難しいが、参考になる情報はある。それが、経済産業省が始めた「情報セキュリティ対策ベンチマーク」である。この仕組みにより、自社の情報セキュリティ対策が他社と比較してどの位置にあるかをある程度理解することができる。さらに、これを使って、自社のリスク評価の適切性を他社との比較において検証することも可能である。

　次回は、この情報セキュリティ対策ベンチマークを取り上げ、リスク評価との関係や活用方法を具体的に解説したい。

著者紹介

▼著者名　大木 栄二郎（おおき えいじろう）

工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問。前職はIBMビジネスコンサルティングサービス チーフ・セキュリティ・ オフィサー。

日本IBMにおけるセキュリティ・コンサルティングの分野を確立、情報セキュリティガバナンスの確立に多くの実績を持つ。情報セキュリティ戦略研究会委員、地方公共団体情報セキュリティ監査調査研究会委員、同WG座長、情報セキュリティ基本問題委員会第1分科会委員、企業におけるセキュリティガバナンス研究会委員、同WG1座長など、政府のセキュリティ関係委員会の委員を歴任。

現在IBMディステングイッシュト・エンジニア、IBMアカデミー会員、セキュリティマネジメント学会常任理事、個人情報保護研究会幹事、情報処理学会会員、ネットワークリスクマネジメント協会幹事、メールマガジン『啓・警・契』 編集長、日本セキュリティ監査協会理事スキル部会長。

著書は「経営戦略としての情報セキュリティ」「経営戦略としての個人情報保護と対策」など。

「情報セキュリティガバナンスを確立せよ」バックナンバー

• 情報セキュリティのガバナンスとマネジメント
• 事業継続管理と情報セキュリティガバナンス
• 自社のセキュリティ対策を他社と比較する
• 情報セキュリティ対策レベルの決め方
• Winny事故で問われる企業の情報管理能力
• 情報セキュリティガバナンスの5力とは
• 情報セキュリティはCSRである